由于第三方库中的漏洞增加了重复 SSH 密钥的可能性,代码托管平台 GitHub 已撤销通过 GitKraken git GUI 客户端生成的弱 SSH 身份验证密钥。作为一项预防措施,Github表示正在建立新的保护措施,以防止易受攻击的 GitKraken 版本添加新生成的弱密钥。
根据网络安全行业门户极牛网梳理,有问题的依赖项称为“密钥对”,是一个开源 SSH 密钥生成库,允许用户创建 RSA 密钥以用于身份验证相关的使用clashgithub订阅,。已发现它会影响2021 年 5 月 12 日至 2021 年 9 月 27 日期间发布的GitKraken版本 7.6.x、7.7.x 和 8.0.0。
该漏洞号为CVE-2021-41117(CVSS 评分:8·7)涉及库使用的伪随机数生成器中的一个错误clashgithub订阅,导致创建较弱形式的公共 SSH 密钥,由于它们的低熵,即随机性的度量太低,使得密钥重复的概率变大clash of heroes攻略,这可能使攻击者能够解密机密信息或未经授权访问属于受害者的帐户。
Axosoft 工程师 Dan Suceava 因发现了安全漏洞而受到赞誉,而 GitHub 安全工程师 Kevin Jones 则因确定了漏洞的原因和源代码位置而受到认可。在撰写本文时,没有证据表明该漏洞被广泛利用来破坏帐户。
THE END
